Freigeben über


Vorgehensweise: Aktivieren von verschlüsselten Verbindungen zum Datenbankmodul (SQL Server-Konfigurations-Manager).

Aktivieren Sie verschlüsselte Verbindungen für eine Instanz von SQL Server Database Engine (Datenbankmodul), indem Sie mithilfe des SQL Server-Konfigurations-Managers ein Zertifikat für Database Engine (Datenbankmodul) angeben. Für den Servercomputer muss ein Zertifikat bereitgestellt worden sein, und der Clientrechner muss so eingerichtet sein, dass er die Stammzertifizierungsstelle des Zertifikats als vertrauenswürdig einstuft.

HinweisHinweis

Zertifikate werden bereitgestellt, indem sie mithilfe eines Importvorgangs in Windows installiert werden.

Das Zertifikat muss für die Serverauthentifizierung ausgegeben sein. Der Name des Zertifikats muss der vollqualifizierte Domänenname (FQDN) des Computers sein.

Zertifikate werden lokal für diesen Benutzer auf dem Computer gespeichert. Um ein Zertifikat zur Verwendung durch SQL Server zu installieren, müssen Sie den SQL Server-Konfigurations-Manager unter dem gleichen Benutzerkonto ausführen wie den SQL Server-Dienst. Nur wenn der Dienst als LocalSystem, NetworkService oder LocalService ausgeführt wird, kann ein administratives Konto verwendet werden.

Der Client muss in der Lage sein, den Besitzer des vom Server verwendeten Zertifikats zu überprüfen. Wenn der Client über das Zertifikat für öffentliche Schlüssel der Zertifizierungsstelle verfügt, die das Serverzertifikat signiert hat, sind keine weiteren Konfigurationsschritte erforderlich. Microsoft Windows enthält die Zertifikate für öffentliche Schlüssel von vielen Zertifizierungsstellen. Wenn das Serverzertifikat von einer öffentlichen oder privaten Zertifizierungsstelle signiert wurde, für die der Client kein öffentliches Schlüsselzertifikat besitzt, müssen Sie das Zertifikat für öffentliche Schlüssel der Zertifizierungsstelle installieren, die das Serverzertifikat signiert hat.

HinweisHinweis

Wenn Sie die Verschlüsselung bei einem Failovercluster verwenden möchten, müssen Sie das Serverzertifikat mit dem vollqualifizierten DNS-Namen des virtuellen Servers auf allen Knoten im Failovercluster installieren. Wenn Sie z. B. über einen Cluster mit zwei Knoten verfügen, wobei die Knotennamen test1.<your company>.com und test2.<your company>.com lauten, und ein virtueller Server den Namen virtsql trägt, müssen Sie ein Zertifikat für virtsql.<your company>.com auf beiden Knoten installieren. Sie können den Wert der Option ForceEncryption auf Yes festlegen.

So stellen Sie ein Zertifikat auf dem Server bereit bzw. installieren Sie ein Zertifikat

  1. Klicken Sie im MenüStart auf Ausführen, geben Sie MMC in das Feld Öffnen ein, und klicken Sie dann auf OK.

  2. Klicken Sie in der MMC-Konsole im Menü Datei auf Snap-In hinzufügen/entfernen.

  3. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf Hinzufügen.

  4. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Zertifikate, und klicken Sie dann auf Hinzufügen.

  5. Klicken Sie im Dialogfeld Zertifikate-Snap-In auf Computerkonto, und klicken Sie dann auf Fertig stellen.

  6. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Schließen.

  7. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf OK.

  8. Erweitern Sie im Dialogfeld Zertifikate-Snap-In die Option Zertifikate, erweitern Sie Eigene Zertifikate, und klicken Sie dann mit der rechten Maustaste auf Zertifikate, zeigen Sie auf Alle Aufgaben, und klicken Sie anschließend auf Importieren.

  9. Ergänzen Sie die Angaben im Zertifikatimport-Assistenten, um dem Computer ein Zertifikat hinzuzufügen, und schließen Sie dann die MMC-Konsole. Weitere Informationen zum Hinzufügen von Zertifikaten zu einem Computer finden Sie in der Windows-Dokumentation.

So exportieren Sie das Serverzertifikat

  1. Erweitern Sie im Zertifikate-Snap-In unter Zertifikate den Ordner Eigene Zertifikate, klicken Sie mit der rechten Maustaste auf das Zertifikat, zeigen Sie auf Alle Tasks, und klicken Sie dann auf Exportieren.

  2. Führen Sie den Zertifikatexport-Assistentenaus, und speichern Sie die Zertifikatsdatei in einem geeigneten Speicherort.

So konfigurieren Sie den Server zum Annehmen verschlüsselter Verbindungen

  1. Erweitern Sie im SQL Server-Konfigurations-Manager den Eintrag SQL Server-Netzwerkkonfiguration, klicken Sie mit der rechten Maustaste auf Protokolle für <Serverinstanz>, und klicken Sie dann aufEigenschaften.

  2. Wählen Sie im Dialogfeld Eigenschaften vonProtokolle für <Instanzname> auf der Registerkarte Zertifikat das gewünschte Zertifikat aus der Dropdownliste für das Feld Zertifikat aus, und klicken Sie dann auf OK.

  3. Aktivieren Sie auf der Registerkarte Flags im Feld ForceEncryption die Option Ja, und klicken Sie dann auf OK, um das Dialogfeld zu schließen.

  4. Starten Sie den SQL Server-Dienst neu.

So konfigurieren Sie den Client zum Anfordern verschlüsselter Verbindungen

  1. Kopieren Sie entweder das Originalzertifikat oder die exportierte Zertifikatsdatei auf den Clientcomputer.

  2. Installieren Sie auf dem Clientcomputer mithilfe des Zertifikat-Snap-Ins entweder das Stammzertifikat oder die exportierte Zertifikatsdatei.

  3. Klicken Sie im Konsolenbereich mit der rechten Maustaste auf SQL Server Native Client-Konfiguration, und klicken Sie dann auf Eigenschaften.

  4. Klicken Sie auf der Seite Flags im Feld Protokollverschlüsselung erzwingen auf Ja.

So verschlüsseln Sie eine Verbindung in SQL Server Management Studio

  1. Klicken Sie auf der Symbolleiste des Objekt-Explorers auf Verbinden, und klicken Sie dann auf Datenbankmodul.

  2. Vervollständigen Sie im Dialogfeld Verbindung mit Server herstellen die Verbindungseinstellungen, und klicken Sie dann auf Optionen.

  3. Klicken Sie auf der Registerkarte Verbindungseigenschaften auf Verbindung verschlüsseln.